用托管C++監(jiān)視Windows事件日志

字號:

隨著病毒、流氓軟件、廣告軟件等的日益增多,許多人都開始使用注冊表監(jiān)視程序,這些監(jiān)視程序通常會在安裝軟件試圖修改注冊表時,彈出一個警告窗口提示用戶。然而,在安全問題上,經(jīng)常被忽略的地方則是Windows事件日志--尤其是安全日志,安全日志通常記錄了Windows操作系統(tǒng)及關(guān)鍵系統(tǒng)應(yīng)用程序的操作,如試圖非法登錄、端口掃描、及其他安全相關(guān)的事件。
    文中將演示如何在應(yīng)用程序中監(jiān)視Windows事件日志,當(dāng)然了,還可以對程序進行擴充,如在事件日志記錄到特定的事件類型時,發(fā)電子郵件通知用戶。
    用 .NET EventLog進行監(jiān)視
    文中的代碼使用了 .NET 1.0/1.1托管C++語法,如果你在使用一個更高版本的 .NET,需要在工程屬性對話框中設(shè)置/clr:oldSyntax編譯選項,或調(diào)整以下代碼使之符合新的托管語法。
    用于Windows事件日志的關(guān)鍵 .NET類型是Diagnostics::EventLog類。
    1、 定義一個托管類并實現(xiàn)事件日志通知處理程序
    處理程序(OnNewLogEntry)會在"新事件日志項"事件引發(fā)時調(diào)用,同時,請注意此處的EntryWrittenEventHandler,以下是示例代碼:
    //用于監(jiān)視新事件日志項的示例代碼
    __gc class NewLogEntryEventHandler
    {
    public:
    NewLogEntryEventHandler() {}
    public:
    void OnNewLogEntry(Object* sender, EntryWrittenEventArgs* e)
    {
    //獲取并處理最近創(chuàng)建的項
    EventLogEntry* entry = e->Entry;
    }
    };
    2、實例化一個EventLog對象,并把它的EnableRaisingEvents屬性設(shè)為true
    屬性EventLog::EnableRaisingEvents是一個布爾類型,其控制了在項目添加到EventLog對象指定的日志時,是否引發(fā)事件:
    EventLog* log = new EventLog("Application");
    log->EnableRaisingEvents = true
    3、把事件處理程序連接到"新事件日志項"事件
    首先,實例化定義了事件處理程序的對象(在此例中為NewLogEntryEventHandler),接著,把事件方法(OnNewLogEntry)添加到EventLog::EntryWritten的事件處理程序列表中:
    NewLogEntryEventHandler* handler = new NewLogEntryEventHandler();
    log->EntryWritten +=
    new EntryWrittenEventHandler( handler,&NewLogEntryEventHandler::OnNewLogEntry);
    4、為特定事件的處理編寫代碼
    回過頭來看一個OnNewLogEntry方法,可以看到傳遞給事件處理程序的EntryWrittenEventArgs對象有一個名為EventLogEntry的成員,其包含了有關(guān)記錄項目的詳細情況,具體為以下屬性:
    ·MachineName--創(chuàng)建事件日志的電腦系統(tǒng)名。
    ·Source--創(chuàng)建此事件的事件源或程序源。
    ·Message--用戶可在事件查看器中讀取這條文本值,其描述了記錄的事件。
    ·Event Type--此值(代表了EventLogEntryType)為一個枚舉值,其代表記錄的事件類型:信息(默認)、警告、錯誤、審核成功、審核失敗。
    ·Event ID--為有關(guān)事件程序特定的號碼。
    ·Data--此值通常用于存儲二進制信息--如內(nèi)存轉(zhuǎn)儲--也是與事件有關(guān)的。
    不足之處
    從以上可以看出,.NET使得訪問事件日志非常簡單,然而,以下也有一些有關(guān)處理事件日志時的限制條件:
    ·只能在本地系統(tǒng)上監(jiān)視事件。
    ·.NET文檔未說明,如果在短時間內(nèi)記錄了大量的事件,是否可保證每個事件都可被引發(fā)。
    ·如果監(jiān)視了更新特別頻繁的事件日志,事件有可能不會立即引發(fā),在事件項之間很可能會有一個滯后,接著突然會有大量的事件通知進入消息隊列。